如果你在过去的5天里深入了解了Twitter的安全和隐私倡导者的时间表,你肯定会看到Zoom计划为付费用户提供端到端加密视频会议而受到严厉批评。Zoom的数以百万计的非付费用户不会受到这种保护,因此公司可以监控虐待儿童活动和其他类型的非法和令人不安的内容。
“哦,滚开,@zoom_us。在路透社报道该计划5天后,沐鸣开户测速一位评论家周二在推特上写道。“你当然不在乎保护人们不受警察滥用职权的影响。毕竟,你不是刚说过,非付费用户不能从你希望与执法部门合作的加密b/c中获益吗?”
此举无疑与一些已经提供端到端加密的平台有所不同。Signal、Facebook Messenger和WhatsApp都为所有用户提供保护,不过付费的用户很少。很少有视频会议服务提供端到端加密。和Zoom一样,它的竞争对手也提供端到端加密服务,但这些服务一般只针对特定用户。
无法解读
端到端加密与简单地加密传输中的数据有很大的不同。相反,它为每个用户提供了单独存在于其设备上的密钥,其中的通信是加密的,然后再解密(加密的数据通常在传输时进行第二次加密)。由于提供者无法访问解密数据的密钥,执法部门或恶意内部人员不可能访问人类可读的内容。
倡导安全和隐私的人士表示,随着越来越多的敏感信息通过互联网传播,这种保护至关重要。电子前沿基金会(Electronic Frontier Foundation)等组织认为,应向所有用户提供端到端加密,无论用户是否付费。Zoom还没有实现端到端加密,但该公司的代表表示,该公司的工程师正在设计和实现过程中。
这篇文章并不是说Zoom到目前为止所阐述的计划是好的。相反,它为这些计划是出于贪婪或想讨好执法部门的批评提供了一个对比。毫无疑问,一些Zoom的批评者很可能会认为,这种对立的观点带有“考虑到孩子”的味道,就像强加密的敌人一直在说的那样。
另一些人则认为,视频会议和其他实时视频平台的独特属性使人们有必要权衡并最终平衡所有用户端到端加密的利弊。
视频会议的一个方面是,它是一个直播儿童性节目和其他非常令人不安的活动的平台。2016年,联邦检察官在一起刑事案件中发现了视频会议在此类犯罪中有时扮演的角色。它指控一名传播儿童色情内容的男子涉嫌参与雅虎视频平台上的视频会议。
检方称,总计有数百名雅虎用户参与了一项实时播放可怕虐待儿童行为的计划。根据现有的判例法,沐鸣开户测速检察官不可能提出指控,除非雅虎员工能够监控feed,亲眼目睹虐待行为,并在宣誓证词中描述它。
一位熟悉Zoom计划的人士说,这类涉及儿童的性爱直播在视频服务中比大多数人想象的更为常见。几乎所有的参与者都使用免费账户,这些账户的注册方式使得他们的身份很难被追踪,甚至是不可能的。几乎没有付费用户从事非法活动。
目前,当Zoom得到非法活动的消息时,它可以访问所谓参与者的帐户,并监控他们的任何feed,以核实虐待报告。如果该公司正确地实施端到端加密,这种类型的监控将是不可能的。
由于几乎所有的滥用都是在免费的未注册用户的会议上播出的,Zoom决定在安全和安全之间取得合理的平衡,只对付费用户实现端到端加密。Zoom公司表示,只有在收到具有法律约束力的法庭命令时,他们才会交出客户数据。
合理的关切
就像这篇文章早些时候引用的推特用户一样,批评者说Zoom屈服于执法部门对“变暗”的夸大抱怨,这意味着加密技术无法提供获取真实犯罪情报的途径。在Zoom公司的安全顾问亚历克斯·斯塔莫斯(Alex Stamos)周三发布的一则Twitter帖子中,我们可以找到与之相反的观点。斯塔莫斯一直在为强大的加密技术抵抗当局,并抵制对用户数据的无理由搜索。他指出,与会者通过电话或H.323和SIP设备进行连接时存在技术限制,而Zoom没有为所有人提供端到端加密,因此需要平衡其他人的隐私和安全。
他写道:“将E2EE作为一个可选择加入的功能,是有正当的产品理由的。”这样的原因在Facebook Messenger (Facebook Messenger正在开发)中存在,现在在Zoom中也存在。在这两种情况下,我认为在传输加密之上的可选E2EE比没有E2EE选项要好。但我们必须解决的另一个问题是,这些产品如何能在监管之外造成危害。”
亚历克斯Stamos
✔
@alexstamos
·2020年6月4日
回复@alexstamos
将E2EE作为一个可选择的特性是有正当的产品理由的。这样的原因在Facebook Messenger (Facebook Messenger正在开发)中存在,现在在Zoom中也存在。在这两种情况下,我认为在传输加密之上的可选E2EE比没有E2EE选项要好。
亚历克斯Stamos
✔
@alexstamos
但我们必须解决的另一个问题是,产品如何能在监控之外造成危害。正如你从上面的课程表中看到的,还有很多其他的危害。Zoom正在处理一些强烈的这些现在。
另一位Zoom的拥护者是加州大学伯克利分校国际计算机科学研究所的研究员、沐鸣开户测速大学讲师尼古拉斯·韦弗。周四,他在Twitter上挑战了一位批评者,称视频会议服务确实需要一种认证用户的方法(目前,免费用户不需要账户)。他认为,如果没有它,端到端加密就无法提供有意义的保护,因为无法知道另一端的用户是否真的是她所声称的那个人。
“账单记录很重要,”他写道。15美元/月是建立书面记录和摩擦。我非常赞同这个决定,特别是因为正确的端到端需要重要的身份验证基础设施,而这在当前的安全模型中是不需要的。
“在这个世界上,金融渠道可能是最可靠的独立于设备的渠道,”他补充道。“你可以使用一次性信用卡(礼品卡),但这些应该根据前缀列表进行区分。”
美国公民自由联盟的加密专家和高级技术研究员Jon Callas也认为Zoom的计划是一个合理的妥协。
目前,很少有视频会议平台提供真正的端到端加密,而那些提供这种加密的平台也只针对特定的用户群体。(谷歌Duo是一个例外,但它将组调用限制为32个参与者,远低于Zoom允许的范围。)此外,Gmail、WhatsApp和Messenger以外的Facebook服务,以及其他数百种广泛使用的在线服务,也没有为非视频服务提供端到端加密。尚不清楚为什么Zoom被单独挑出来进行全行业的实践。
毫无疑问,该公司还有工作要做。Zoom还没有像谷歌、Facebook和其他公司那样发布透明化报告,详细说明他们收到的针对用户数据的执法命令(CEO承诺将在7月初发布第一个命令)。在此之前,用户有充分的理由保持谨慎。除了拒绝对所有非付费用户进行端到端加密之外,可能还有其他方法来平衡隐私和安全性。但如果Zoom正确地实现了它的端到端保护,它将是为数不多的为其用户提供这种保护的会议服务之一。为了适应安全问题,将其限制在某些用户范围内要比建立当局要求的后门要好得多。